BijDliographische Daten - System fo^^rol*^gia'5i|p(6ricT3to 



W=0&DB=EPD&ABSFLG=%05&DRDB=US 




Verttffentlichungsnr. (Sek.) 

VerOffentlichungsdatum : 
Erfinder : 



□ US5436837 
1995-07-25 

GERSTUNG ULRICH (DE); HALL DIETER (DE); KIRSCHNER 
MICHAEL (DE); ZIMMERMAN WERNER (DE); BERGER JOACHIM 
(DE); GROSSER MARTIN (DE); SEHER DIETER (DE); WESSEL 
WOLF (DE); BITTINGER WOLFGANG (AT); DITTRICH WOLFGANG 
(AT); FORSTER FELIX (AT); POLEDNA STEFAN (AT); SCHMIDT 
KARL-HEINZ (AT) 

BOSCH GMBH ROBERT (DE) 

□ DE41 14999 

US19920843011 19920228 

DE1 99141 14999 19910508 
G06F11/30 

F02D41/26D . G05B9/03 



Anmelder :: 

Vertjffentlichungsnummer : 
Aktenzeicheh: 

(EPIDOS-INPADOC-normiert) 

Prioritatsaktenzeichen: 
(EPIDOS-INPADOC-normiert) 

Klaissifikationssymbol (IPC) : 

Klassifikationssymbol (EC) : 

Korrespondierende Patentschriften Q EP05T2240 , B1 , □ JP5147477 



Bibliographische Daten 



A system for controlling a motor vehicle includes a first device for determining control data required for 
controlling the motor vehicle. A second device monitors the first device. The first device determines second 
data on the basis of first.data, pursuant to a test function. The second device determines , third data on the 
basis of the first data, pursuant to the same test function. The first and/or the second device recognizes an 
error state relevant to safety, dependent upon a comparison between the second data and the third data. 
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(3) System zur Steuerung eines Kraftfahrzeuges 

(57) Es wird ein System zur Steuerung eines Kraftfahrzeugs 
beschneben, mit einer ersten Einrichtung zur Bestimmung 
von zur Steuerung des Kraftfahrzeuges bendtigten Steuer- 
daten. Etne zweite Einrichtung dient zur Glberwachung der 
ersten Einrichtung. Die erste Einrichtung ermittelt ausge- 
hend von ersten Oaten zweite Oaten gemafi einer Pruffunk- 
tion. Oie zweite Einrichtung ermittelt ebenfalls ausgehend 
von den ersten Daten dritte Oaten gemaR der Pruffunktion. 
Oie erste und/oder die zweite Einrichtung erkennt abhangig 
von dem Vergleich zwischen den zweiten Daten und den 
dritten Daten einen sicherheitsrelevanten Fehlerzustand. 
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Stand der Technik 

Die Erfindung betrifft ein System zur Steuerung eines 
Kraftfahrzeuges gemaB dem Oberbegriff des An- 
spruchs 1. 

Ein solches System zur Steuerung eines Kraftfahr- 
zeugs ist aus der DE-OS-35 31 198 bekannt Dort wird 
ein System zur Steuerung einer Dieselbrennkraftma- 
schine beschrieben. Dieses System umfaBt einen Haupt- 
rechner und einen Ersatzrechner. Erkennt eine Oberwa- 
chungseinrichtung einen Defekt im Hauptrechner t so 
wird auf den Ersatzrechner umgeschalteL 

Desweiteren sind Systeme bekannt, bei denen ein er- 
ster Mikrorechner Steuerdaten, die zur Steuerung des 
Kraftfahrzeuges benotigt werden, bestimmt. Eine Uber- 
wachungseinrichtung iiberpruft, ob der erste Mikro- 
rechner korrekt arbeitet Diese Oberwachungseinrich- 
tung kann entweder als Mikrorechner oder in der ein- 
fachsten Form als festverdrahteter Baustein ausgefuhrt 
sein. Erkennt die Oberwachungseinrichtung einen si- 
cherheitskritischen Betriebszustand, so versetzt die si- 
cherheitsrelevante AusgangsgroBe iiber ein entspre- 
chendes Sicherheitssignal in einen sicheren Zustand. 
Dies bedeutet, daB zum Beispiel die Kraftstoffeinsprit- 
zung unterbunden und/oder die Drosselklappe ge- 
schlossen wird. 

Eine solche Oberwachungseinrichtung ist zum Bei- 
spiel aus der DE-OS-32 40 707 bekannt Die dort be- 
schriebende Oberwachungseinrichtung beaufschlagt in 
regelmaBigen Zeitabstanden das Steuergerat mit einem 
sogenannten Triggersignal. Ist der Abstand zwischen 
zwei Triggerimpulsen groBer oder kleiner, als eine in 
der Oberwachungseinrichtung abgelegte Zeitdauer, so 
erkennt die Oberwachungseinrichtung auf Fehler und 
leitet entsprechende MaBnahmen ein. Mit einem sol- 
chen Oberwachungskonzept kann im wesentlichen nur 
ein TotalausfaiJ des Rechners erkannt werden. Eine feh- 
lerhafte Signalverarbeitung erkennt eine solche Watch- 
dog nicht 



re Darstellung des Oberwachungssystems, die Fig. 3 ei- 
ne Erganzung des Systems gemaB Fig. 2, die Fig. 4 und 5 
ein FluBdiagramm zur Verdeutlichung der erfindungs- 
gemaBen Vorgehensweise, Fig. 6 verschiedene Mog- 
5 lichkeiten der Kopplung der Oberwachungseinrichtung 
und des Mikrorechners, Fig. 7 ein grobe schematische 
Darstellung der wesentlichen Elements Fig. 8 die we- 
sentlichen Elemente einer weiteren Ausfuhrungsform 
sowie die Fig. 9 ein detailliertes Diagramm einer weite- 
io ren Ausfiihrungsform. 

Beschreibung der Ausfuhrungsbeispiele 



Aufgabe der Erfindung 

Der Erfindung liegt die Aufgabe zugrunde, bei einem 
System zur Oberwachung der Steuerung eines Kraft- 
fahrzeuges der eingangs genannten Art ein System zur 
Verfugung zu stellen, das einfacher aufgebaut als ein 
System mit zwei Rechnem und gleichzeitig mehr Fehler 
erfaBt, als ein System mit Watchdog. 

Vorteileder Erfindung 

Das beschriebene System zur Oberwachung einer 
Steuereinrichtung eines Kraftfahrzeugs besitzt den 
Vorteil, daB es bei einfachem Aufbau ein hohes MaB an 
Sicherheit gewahrleistet 

Vorteilhafte und zweckmaBige Ausgestaltungen und 
Weiterbildungen der Erfindung sind in den Unteran- 
sprtichen gekennzeichnet 

Zeichnung 

Die Erfindung wird nachstehend anhand der in der 
Zeichnung dargestellten Ausfuhrungsformen erlautert 

So zeigt die Fig. 1 ein grobes Blockdiagramm des 
erfindungsgemaBen Systems, die Fig. 2 eine detaillierte- 



Dem erfindungsgemaBen System liegt der Grundge- 
15 danke zugrunde, daB ein Mikrorechner und eine Ober- 
wachungseinrichtung beide in regelmaBigen Zeitab- 
standen eine Signalverarbeitung durchfuhren, wobei die 
Oberwachungseinrichtung und/oder der Mikrorechner 
die beiden Ergebnisse vergleichen und ausgehend von 
20 diesem Vergleich, auf das korrekte oder fehlerhafte Ar- 
beiten des Mikrorechners schlieBen. 

Die durchgefuhrte Berechnung ist vorzugsweise sehr 
einfach gestaltet. Es wird also nicht wie bei Parallelrech- 
nersystemen der Mikrorechner doppelt ausgelegt und 
25 von der Oberwachungseinrichtung die gleiche Berech- 
nung wie vom Mikrorechner ausgefuhrt. Sondern es 
wird so vorgegangen, daB sowohl der Mikrorechner als 
auch die Oberwachungseinrichtung ausgehend von den- 
selben Daten gemaB einer vorgegebenen Pruffunktion 
30 jeweils Ergebnisdaten berechnen. 

Diese Ergebnisdaten werden dann verglichen und 
aufgrund von diesem Vergleich ein Fehler erkannt. Die 
zur Berechnung der Ergebnisdaten verwendete Pruf- 
funktion ist in der Regel sehr einfach gestaltet sie erfor- 
35 dert nur eine sehr geringe Rechenzeit 

Fig. 1 zeigt ein grobes Blockdiagramm des erfin- 
dungsgemaBen Systems. Mit 1 ist ein Mikrorechner, der 
auch ais erste Einrichtung bezeichnet wird, dargestellt 
Mit 2 ist eine zweite Einrichtung, auch als Oberwa- 
40 chungseinrichtung bezeichnet, gekennzeichnet Der Mi- 
krorechner 1 und die Oberwachungseinrichtung 2 sind 
untereinander mit einer Datenleitung 5 verbunden. Des 
weiteren steht der Mikrorechner mit einer Eingangsda- 
tenieitung 6 in Verbindung. Von dieser Eingangsdaten- 
45 Ieitung 6 zweigt eine zweite Eingangsdatenieitung 65 ab, 
die zur Oberwachungseinrichtung 2 fuhrt. 

Sowohl der Mikrorechner 1 als auch die Oberwa- 
chungseinrichtung 2 sind jeweils mit einer unabhangi- 
gen Zeitbasis 3 bzw. 4 verbunden. Der Mikrorechner 
so gibt iiber die Ansteuerleitung 9 ein Signal an eine Ver- 
knupfungseinrichtung 98 ab. Der zweite Eingang der 
Verknupfungseinrichtung 98 wird uber eine Sicherheits- 
Ieitung8 mit einem Sicherheitssignal beaufschlagt Ober 
die Ausgangsleitung 7 wird dann ein Stellwerk 94 mit 
55 einer AusgangsgroBe beaufschlagt 

Bei einer besonders vorteilhaften Ausgestaltung der 
Erfindung stehen sowohl der Mikrorechner 1 als auch 
die Oberwachungseinrichtung 2 mit einer weiteren Ver- 
knupfungseinrichtung 99 in Verbundung. Diese zweite 
60 Verknupfungseinrichtung gibt uber eine Notleitung 92 
ein Signal zur Ansteuerung einer Notvorrichtung 93 ab. 
Vorzugsweise unterbricht diese Notvorrichtung die 
Kraftstoffzufuhr. 
Das Stellwerk zur Beeinflussung der Leistungsabga- 
65 be der Brennkraftmaschine wird ublicherweise von dem 
Mikrorechner 1 mit Signalen beaufschlagt die eine ent- 
sprechende Verstellung des Stellwerks bewirken. Die 
zweite Einrichtung uberwacht den Mikrorechner auf 
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seine korrekte Funktion. 

Ober die Datenleitung S tauschen der Mikrorechner 
1 und die Oberwachungseinrichtung 2 Informationen 
aus. Vorzugsweise sind dies impulsfdrmig kodierte Da- 
ten in serielier oder paralleler Form. Die Obertragung 5 
kann entweder nur in einer Richtung vorzugsweise vom 
Mikrorechner zur Oberwachungseinrichtung oder in 
beide Richtungen erfolgen. 

Der Mikrorechner berechnet ausgehend von den 
uber die Eingangsdatenleitung 6 zugefiihrten Daten be- 10 
ziiglich verschiedener Betriebszustande Ausgangsgro- 
Ben zur Steuerung des Stellwerks der Brennkraftma- 
schine. Bei besonders sicherheitsrelevanten Ausgangs- 
groBen muB die richtige Funktionsweise des Mikrorech- 
ners I durch die Oberwachungseinrichtung 2 uberpriift 15 
werden. Solche sicherheitsrelevanten AusgangsgroBen 
bzw. Stellwerke, sind zum Beispiel die Kxaftstoffzumes- 
sung. insbesondere bei Dieselbrennkraftmaschinen, die 
Drosselklappenstellung bei fremdgezundeten Brenn- 
kraftmaschinen, Eingriffe auf die Lenkung, die Bremsen 20 
sowie alle GroBen, die das Fahrverhalten der Brenn- 
kraftmaschine beeinflussen. 

Erkennt die Oberwachungseinrichtung einen sicher- 
heitskritischen Betriebszustand, so erzeugt sie ein Si- 
cherheitssignal, das uber die Sicherheitsleitung 8 an die 25 
Verkniipfungseinrichtung 98 geleitet wird. Die Ver- 
knupfungseinrichtung 98 leitet dann NotfahrmaBnah- 
men ein. Diese sehen vor, daB bei Vorliegen eines si- 
cherheitskritischen Zustandes, die AusgangsgroBe zur 
Ansteuerung des Stellwerks in einen solchen Wertebe- 30 
reich liegt, daB keine gefahrlichen BetriebskenngroBen 
auftreten. So kann zum Beispiel bei der Steuerung der 
Kraftstoffzufuhr vorgesehen werden, daB die einzu- 
spritzende Kraftstoffmenge auf einen maximal zulassi- 
gen Hochstwert begrenzt wird. 35 

In Fig. 2 ist eine Realisierung der Oberwachungsein- 
richtung detaillierter ausgefuhrt. Elemente, die schon in 
Fig. I enthalten sind, werden mit entsprechenden Be- 
zugszeichen bezeichnet Uber eine Lesesteuerleitung 52 
ist der Mikrorechner t mit einem ersten Zwischenspei- 40 
cher 1 1 und einer Zeitablaufsteuerung 16 der Oberwa- 
chungseinrichtung 2 verbunden. 

Ober eine erste Datenleitung 51 gelangen die Daten 
des Zwischenspeichers 11 zum Mikrorechner 1. Die Da- 
ten des ersten Zwischenspeichers werden aus einem 45 
freilaufcnden Zahler 10 ausgetesen, der mit der Zeitba- 
sis 4 verbunden ist Des weiteren ist der Zahler 10 mit 
der Zeitablaufsteuerung 16 verbunden. Der erste Zwi- 
schenspeicher 1 1 steht ferner uber einen Inverter 14 mit 
einem zweiten Zwischenspeicher 132 in Verbindung. 50 
Ober eine Schreibsteuerleitung 53 ist der Mikrorechner 
mit dem zweiten Zwischenspeicher 132, einem dritten 
Zwischenspeicher 131 sowie mit der Zeitablaufsteue- 
rung 16 verbunden. Ober eine zweite Datenleitung 54 
beaufschlagt der Mikrorechner den dritten Zwischen- 55 
speicher 131 mit Daten. 

Ein Vergleicher 15 ist mit dem zweiten Zwischenspei- 
cher 132 und dem dritten Zwischenspeicher 131 verbun- 
den. Die Ausgange des Vergleichers 15 und der Zeitab- 
laufsteuerung 16 beaufschlagen eine Verknupfungsein- 60 
richtung 17 mit Signalen. Deren Ausgangssignal stellt 
das Sicherheitssignal bereit, mit dem dann die Verknup- 
fungseinrichtung 98 zur Biidung der AusgangsgroBe zur 
Ansteuerung des Stellwerks beaufschlagt wird. 

Die Funktionsweise dieser Oberwachungseinrichtung 65 
ist nun wie folgt Der Mikrorechner gibt uber die Lese- 
steuerleitung 52 einen Lesebefehl an den ersten Zwi- 
schenspeicher 11. Daraufhin wird uber die Datenleitung 
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51 der Inhalt des Zwischenspeichers 11 in den Mikro- 
rechner eingelesen. Der Inhalt des ersten Zwischenspei- 
chers 11 entspricht dem Inhalt des freilaufenden Zahlers 
10. Dieser Zahler 10 zahlt die von der Zeitbasis 4 abge- 
gebenen Impulse. Der Mikrorechner invertiert die aus 
dem ersten Zwischenspeicher 11 ausgelesenen Daten. 
Dies bedeutet er berechnet den inversen Wert Bei digi- 
talen Signalen bedeutet dies, daB alle logischen Werte 
invertiert werden. 

Ober die Schreibsteuerleitung 53 wird der dritte Zwi- 
schenspeicher 131 dahingehend aktiviert, daB der Mi- 
krorechner in den dritten Zwischenspeicher 131 den 
vom Hauptrechner invertierten Zahlerstand einliest 
Der vom Mikrorechner gelesene Zahlerstand wird beim 
Lesevorgang in den ersten Zwischenspeicher 11 abge- 
legt, wahrend des Schreibvorgangs wird der Speicherin- 
halt im Inverter 14 in seine inverse Form iibergefuhrt 
und im zweiten Zwischenspeicher 132 abgelegt 

Im zweiten Zwischenspeicher 132 steht also der in der 
Oberwachungseinrichtung direkt invertierte Wert In 
dem dritten Zwischenspeicher 103 steht der von dem 
Mikrorechner invertierte Wert. Diese beiden Werte 
werden in dem Vergleicher 15 verglichen. Stimmen die 
beiden Werte nicht uberein, so werden NotfahrmaBnah- 
men eingeleitet Hierzu nimmt das Sicherheitssignal ei- 
nen solchen Wert an, daB das sicherheitsrelevante Aus- 
gangssignal in den sicheren Betriebszustand versetzt 
wird. Vorzugsweise wird die Brennkraftmaschine aus- 
geschalteL 

Die Zeitablaufsteuerung 16 greift uber eine weitere 
Verkniipfungseinrichtung 17 in das Sicherheitssignal 
ein. Die Zeitablaufsteuerung 16 uberwacht, ob das Lese- 
steuersignal periodisch angelegt wird und ob zwischen 
dem Anlegen des Lesesteuersignals und dem nachfol- 
genden Schreibsteuersignal eine bestimmte Maximal- 
zeit nicht uberschritten wird. Ist dies der Fall so wird 
ebenfails ein entsprechendes Signal abgegeben. 

Besonders vorteilhaft konnen bei dem Ausfuhrungs- 
beispiel auch die Funktionen der Oberwachungseinrich- 
tung und des Mikrorechners vertauscht werden. Dies 
bedeutet zum Beispiel, daB der Zahler sich in dem Mi- 
krorechner befindet und die Oberwachungseinrichtung 
den Zahlerstand vom Mikrorechner ubernimmt Ferner 
kann auch der Vergleicher 15 im Mikrorechner enthal- 
ten seia Wesentlich ist nur, daB sowohi der Mikrorech- 
ner als auch die Oberwachungseinrichtung die gleichen 
Daten verarbeiten (invertieren) und der Mikrorechner 
und/oder die Oberwachungseinrichtung die beiden Er- 
gebnisse vergleichL Weichen die beiden Ergebnisse 
voneinander ab und/oder steht das Ergebnis nicht inner- 
halb einer vorgegebenen Zeitspanne bereit, so wird auf 
einen fehlerhaften Betriebszustand erkannt 

Mit einer weiteren Ausgestaltung des Ausfuhrungs- 
beispiels ist es moglich, auch die Oberwachungseinrich- 
tung auf Fehlfunktion zu uberprufen. Da bei wird wie 
folgt vorgegangen. Der Mikrorechner gibt gelegentlich 
ein falsches Ergebnis aus bzw: er uberschreitet die vor- 
gegebene Zeitgrenze. Dies hat zur Folge, daB die Ober- 
wachungseinrichtung einen Fehler erkennt. Die Fehler- 
meldung der Oberwachungseinrichtung wird uber die 
Datenleitung 5 zum Hauptrechner ubertragen. Der Mi- 
krorechner uberprtift, ob die Fehlermeldung auftritt. 
Damit innerhalb des Gesamtsystems keine ungewollte 
Beeinftussung der AusgangsgroBen erfolgt, wird das Si- 
cherheitssignal erst nach einer zusatzlichen Verzoge- 
rungszeit wirksam, wenn der Mikrorechner das Ergeb- 
nis nicht innerhalb der Verzogerungszeit korrigiert 

Hierzu ist erforderlich. daB die Einrichtung gemaB 
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der Fig. 2 urn die Einrichtung gemaB der Fig. 3 erganzt 
wird. Das Ausgangssignal der Verkniipfungseinrichtung 
17 wird zum einen einem Verzogerungsglied 18, einem 
logischen Element 20 und dem Mikrorechner 1 zugelei- 
tet. Das logische Element verkniipft das Ausgangssignal 
des Verzdgerungsglieds 18 und das Ausgangssignal der 
Verkniipfungseinrichtung 17. Dadurch, daB das Sicher- 
heitssignal zum Mikrorechner zuriickgefuhrt wird, hat 
dieser die Moglichkeit, zu kontrollieren, ob die Oberwa- 
chungseinrichtung korrekt arbeitet Gibt der Mikro- 
rechner bewuBt ein fehierhaftes Signal uber die Daten- 
verbindung 54 ab, so muB das Sicherheitssignal einen 
Fehlerzustand signalisieren. Das Verzogerungsglied 18 
stellt sicher, dafi am zweiten Eingang des logischen Ele- 
ments 20 erst nach einer bestimmten Verzogerungszeit 
ein Fehlersignal anliegt Am Ausgang des logischen Ele- 
ments liegt erst dann ein Sicherheitssignal an, wenn das 
Ausgangssignal der Verkniipfungseinrichtung 17 lange- 
re Zeit einen Fehier anzeigt. Dadurch wird bewirkt, dafi 
ein kurzzeitiges Ansprechen der Oberwachungseinrich- 
tung nicht zu einer Fehlermeldung und damit zu einer 
Reduktion der Leistung der Brennkraftmaschine fiihrt 
Erst wenn das Signal langere Zeit anliegt und sicher 
davon ausgegangen werden kann, daB der Mikrorech- 
ner nicht bewuQt ein fehierhaftes Signal abgegeben hat, 
wird ein entsprechendes Sicherheitssignal abgegeben. 

In Fig. 4 ist die erfindungsgemaBe Vorgehensweise 
anhand eines FluBdiagrammes verdeutlicht. In Schritt 
400 wird ein zweiter Zeitzahler T2 und im Schritt 405 ein 
erster Zeitzahler Tt auf Null gesetzt In Schritt 410 er- 
folgt eine Erhohung des ersten Zeitzahlers Tt. Erkennt 
die Abfrage 420, daB eine vorgegebene Zeitschweile TS 
noch nicht uberschritten wird, so wird der Schritt 410 
wiederholt. Dies geschieht solange, bis der Zeitzahler 
den Schwellwert uberschreitet Ist eine vorgegebene 
Zeitschweile uberschritten, so liest der Mikrorechner im 
Schritt 430 aus dem Zahler 10 der Oberwachungsein- 
richtung den aktuellen Zahlerstand Z aus. 

Im abschlieBenden Schritt 440 bildet der Mikrorech- 
ner und die Oberwachungseinrichtung 2 die invertierten 
Werte Z1 und Z2. Bei einem digitalen Signal sieht eine 
einfache Realisierung vor, daB die Nullen durch Einsen 
und die Einsen durch Nullen ersetzt werden. Diese In- 
vertierung findet in dem Mikrorechner und der Ober- 
wachungseinrichtung gleichzeitig statt. Im Schritt 450 
uberpruft der Vergleicher 15, ob die beiden invertierten 
Werte ubereinstimmen. 

Anstelle eines Vergleichs kann auch lediglich ein 
Wert im Mikrorechner invertiert werden. Werden dann 
anschlieBend der invertierte und der urspriingliche 
Wert addiert, so muB sich ein Additionsergebnis erge- 
ben, das nur Einsen enthalt Erkennt die Anfrage 450, 
daB die Werte gleich sind, so startet mit dem Schritt 405 
ein neuer Programmdurchlauf, in dem der erste Zeitzah- 
ler Tl wieder zuruckgesetzt wird. Erkennt die Anfrage 
450 dagegen daB die Werte ungleich sind. so bedeutet 
dies, daB der Mikrorechner fehlerhaft arbeitet lm ein- 
fachsten Fall wird daher im Schritt 480 ein Fehlersignal 
ausgegeben. Dies ist gestrichelt dargestellt 

Eine vorteilhafte Weiterbildung sieht vor, daB im 
Schritt 460 der zweite Zeitzahler erhdht wird. Erst wenn 
die zweite Abfrageeinheit 470 erkennt, daB der zweite 
Zeitzahler T2 groBer als ein Schwellwert S ist, wird ein 
Fehier ausgegeben. Ist dieser Schwellwert noch nicht 
erreicht, so setzt das Programm mit dem Schritt 410 in 
dem der erste Zeitzahler erhdht wird, fort. Durch diese 
Vorgehensweise wird gewahrleistet, daB nur dann auf 
Fehier erkannt wird, wenn die Anfrageeinheit 450 mehr- 



mals eine Unplausibilitat der Signale erkennt. Hierdurch 
konnen einmalig auftretende Fehier unterbunden wer- 
den. 

Eine weitere Ausgestaltung sieht folgende Vorge- 
5 hensweise vor. Die Oberwachungseinrichtung 2 gibt zu 
einem vorgegebenen Zeitpunkt Daten in Form eines 
Priifwerts an den Mikrorechner 1 ab. Der Mikrorechner 
bearbeitet diesen Prufwert entsprechend wenigstens ei- 
ner vorgegebenen Priiffunktion. Parallel hierzu bearbei- 
io tet die Oberwachungseinrichtung den Prufwert mit ei- 
ner entsprechenden Priiffunktion. Die Oberwachungs- 
einrichtung gibt einen Zeitbereich zwischen TMIN und 
TMAX vor, innerhalb von dem der Mikrorechner der 
Oberwachungseinrichtung ein Ergebnis ubermitteln 
15 muB. Trift innerhalb dieser vorgegebenen Zeitgrenzen 
das Ergebnis nicht oder falsch ein, so erkennt die Ober- 
wachungseinrichtung auf Fehier. 

Empfangt die Oberwachungseinrichtung das Ergeb- 
nis vom Mikrorechner, so gibt sie wieder ein neuen 
20 Prufwert an den Mikrorechner ab. Besonders vorteil- 
haft werden die Priifwerte durch eine Zufallsauswahl 
ermittelt. Hierzu zahlt ein unabhangiger Zahler laufend 
von Null bis zu einem Endwert bzw. von einem Endwert 
auf Null. Zu vorgegebenen Zeitpunkten wird der Zah- 
25 lerstand des freiiaufenden Zahlers ausgelesen und als 
Prufwert verwendet Solche bevorzugten Zeitpunkte 
sind gegeben, wenn die Oberwachungseinrichtung Da- 
ten vom Mikrorechner ubermittelt bekommt oder wenn 
die Oberwachungseinrichtung die korrekte Funktion 
30 des Mikrorechners erkannt hat 

Besonders vorteilhaft wird fur den Zahler ein 4-Bit 
Zahler mit einer Frequenz von einem MHz gewahlt So 
konnen 16 unterschiedliche Priifwerte vorgegeben wer- 
den. Erhalt die Oberwachungseinrichtung den Ergebnis- 
35 wert ubermittelt, so wird der Zahlerstand ausgelesen 
und als neuer Prufwert an den Mikrorechner uberge- 
ben. Ein neuer Prufwert wird immer dann gebildet 
wenn die Oberwachungseinrichtung den Ergebniswert 
ubermittelt bekommt oder wenn die Oberwachungsein- 
40 richtung das korrekte Arbeiten des Mikrorechners er- 
kannt hat. Die Zufallsauswahl der Priifwerte erfolgt da- 
durch, daB der jeweilige Zahlerstand bei einem definier- 
ten Zeitpunkt als neuer Prufwert verwendet wird. Der 
neue Prufwert hangt vom Auftreten des alten Ergebnis- 
45 werts ab. Der definierte Zeitpunkt liegt vorzugsweise 
zwischen dem Einlesen des Ergebniswerts oder dem Er- 
kennen der korrekten Funktion des Mikrorechners. 

Zur Verdeutlichung dieses Verfahrens sei noch auf 
das FluBdiagramm Fig. 5a verwiesen. In der linken Half- 
50 te ist der Ablauf des Programms in der Oberwachungs- 
einrichtung und in der rechten Halite das Programm in 
dem Mikrorechner aufgezeigt Im Schritt 500 startet das 
Programm in der Oberwachungseinrichtung damit, daB 
der Zahlerstand eines Zahlers ausgelesen wird. Dieser 
55 Zahlerstand wird als Prufwert X verwendet 

Im Schritt 505 wird der Prufwert an den Mikrorech- 
ner ubergeben. AnschlieBend gibt die Oberwachungs- 
einrichtung im Schritt 5t0 eine untere Zeitschranke 
TMIN und eine obere Zeitschranke TMAX vor. Im 
60 Schritt 515 wird aus einem Prufwert X gemaB der Priif- 
funktion Fein Ergebniswert Y berechnet Im Schritt 535 
erhalt der Mikrorechner den Prufwert X ubermittelt Im 
Laufe des ublichen Programmablaufs zur Berechnung 
der Steuerdaten sind einzelne Berechnungsschritte ein- 
65 gefiigt, in denen der Ergebniswert Yl gemaB der Figur 
F ausgehend von dem Prufwert X berechnet wird. Diese 
Berechnungen sind in dem Schritt 540 zusammengefaBt 
Besonders vorteilhaft ist es, wenn jedem Funktions- 




DE 41 14 

7 

block des Mikrorechners eine PrQffunktion zugeordnet 
ist Im Schritt 545 wird das Ergebnis Yl der Oberwa- 
chungseinrichtung ubergeben. Diese erfaBt den Wert im 
Schritt 520. Der Abfrageblock 525 iiberpriift, ob das von 
der Oberwachungseinrichtung vorgegebene Ergebnis Y 5 
mit dem von dem Mikrorechner bestimmten Ergebnis 
Yl ubereinstimmt Jst dies nicht der Fall, so erkenni der 
Block 550 auf Fehler. 1st das Ergebnis korrekt, so tiber- 
prOf t die Zeitabfrage 530, ob das Ergebnis in dem vorde- 
finierten Zeitintervall zwischen TMIN und TMAX ein- 10 
gegangen ist Trifft dies ebenfalls zu, so wird in Schritt 
500 ein neuer Zahlerstand als Priifwert ausgelesen. 

Auch hier kann vorgesehen werden, daB der Mikro- 
rechner in vorgegebenen Zeitabstanden falsche Ergeb- 
niswerte an die Oberwachungseinrichtung abgibt um 15 
deren Funktionsfahigkeit zu iiberwachea 

Die Pruffunktion wird wohl wahrend des ublichen 
Steuerprogramms abgearbeitet Die Pruffunktion wird 
aber nicht zur Berechnung der Steuerdaten benotigt. 
Die Berechnung der Pruffunktion ist so auf die einzel- 20 
nen IComponenten des Mikrorechners und seiner peri- 
pheren Baugruppen aufgeteilt, daB auch exteme Bautei- 
le wie Speicher und der Daten- und Adressbus uber- 
priift werden konnen. 

Um eine besonders aussagekraftige Oberwachung 2 s 
durchfuhren zu konnen, wird folgendes Verfahren ange- 
wandt Betrachtet man die Menge der sicherheitsrele- 
vanten Funktion, die durch die Oberwachungseinrich- 
tung uberwacht werden soilen, so kann der zeitliche 
Funktionsablauf als gerichteter zyklenfreier Graph dar- 30 
gestellt werden. Ein Beispiel fur einen solchen Graph ist 
in Fig. 5b dargestellt Arn Startknoten S des Graphen 
wind der Priifwert der Oberwachungseinrichtung einge- 
speist, am Zielknoten Z soli das Ergebnis an die Ober- 
wachungseinrichtung geliefert werden. 35 

Jeder Knoten hat eine Menge von Kanten, die zu ihm 
hinfuhren, jede dieser Kanten liefert eine Eingangsgro- 
Be. Der Knoten berechnei ausgehend von der Eingangs- 
groBen gemaB einer Funktion Ft, F2, . . . F6 die Aus- 
gangsgroBe, der an alle, direkt erreichbaren Knoten 40 
weitergeleitet wird. Der Zielknoten erhalt ebenfalls eine 
Menge von Eingangen. 1st der Funktionsablauf fehler- 
frei, so liefert der Zielknoten das Ergebnis an die Ober- 
wachungseinrichtung. Paratlele Pfade im Grapfen stel- 
len den parallelen Ablauf des Programms dar, sequen- 45 
tielle Pfade stellen den seriellen Ablauf des Programms 
dar. 

Die Berechnung der SteuergroBen im Mikrorechner 
erfolgt ebenfalls gemaB eines solchen Graphen. Der zur 
Berechnung der SteuergroBen verwendete Grapf hat 50 
die gleiche Struktur, das heiBt er besitzt die gleiche 
Knoten und Kanten mit gleicher Anordnung. Die Be- 
rechnung des Ergebisses erfolgt gemaB anderen Funk- 
tionen. Jeder Funktion zur Berechnung der SteuergrdBe 
ist eine Pruffunktion zugeordnet die wahrend, vor oder 55 
nach der Steuerfunktion abgearbeitet wird. Bei geeigne- 
ter Wahl der einzelnen Priiffunktionen Ft, F2, ... F6 
kann auch ein Ausfall einer Teilfunktion des Mikrorech- 
ners zuverlassig erkannt werden. In der Oberwachungs- 
einrichtung erfolgt die Berechnung des Ergebnisses eo 
ebenfalls mit diesem Graph und der Pruffunktionen. 
Wenn der Mikrorechner korrekt arbeitet stimmen diese 
beiden Ergebnisse uberein. 

Der Mikrorechner I und die Oberwachungseinrich- 
tung 2 konnen auf verschiedene Arten miteinander ver- 65 
bunden sein. Drei verschiedene Moglichkeiten der 
Kopplung der Oberwachungseinrichtung und des Mi- 
krorechners sind in Fig. 6 dargestellt. 
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Die verschiedenen Komponenten wie ein Speicher- 
baustein 50, ein Gate-Array 40 und der Mikrorechner 1 
sind uber einen Daten-/Adressbus untereinander ver- 
bunden. Bei dem Gate-Array handelt es sich um einen 
integrierten elektronischen Schaltkreis mil dem sich 
verschiedene logische Schaltungen realisieren lassen. 
Das Gate-Array wird vorzugsweise zu Adressdekodie- 
rung und zur reduntanten Signalerfassung eingesetzt 
Bei der Variante gemaB Fig. 6a ist die Oberwachungs- 
einrichtung 2 uber eine serielle Schnittstelle 45 direkt 
mit dem Mikrorechner gekoppelt Diese Anordnung 
bietet den Vorteil, daB bei der uberprufung der Daten- 
/Adressbus nicht benutzt wird 

Bei der Variante gemaB Fig. 6b ist die Oberwa- 
chungseinrichtung ebenfalls mit dem Daten-Mdressbus 
verbunden und tauscht uber diesen die Daten, mit dem 
Mikrorechner aus. Hieraus ergibt sich der Vorteil, daB 
keine langsame mit hohem Hardwareaufwand behaftete 
serielle Schnittstelle erforderlich ist. Auch ist keine zu- 
satzliche serielle Schnittstelle am Mikrorechner erfor- 
derlich. 

Bei einer weiteren Variante gemaB Fig. 6c bilden Ga- 
te-Array und Oberwachungseinrichtung 1 eine bauliche 
Einheit. Hieraus ergibt sich gegeniiber der Variante ge 
maB Fig. 6b der zusatzliche Vorteil, daB die Ausfallrate 
reduziert wird, da die Zahl der Bauteile geringer ist. 

In Fig^ 7 sind grob schematisch wesentliche Elemente 
der erfindungsgemaBen Einrichtung dargestellt. Wie in 
Fig. 7a dargestellt, steht der Mikrorechner uber je eine 
Leitung mit der Oberwachungseinrichtung 2 der Not- 
vorrichtung 93 in Verbindung. Die Oberwachungsein- 
richtung 2 ist mit zwei Leitungen mit einer Verkniip- 
fungseinrichtung 98 verbunden, die iiber die Ausgangs- 
leitung 7 das Stellwerk 94 mit der AusgangsgroBe be- 
aufschlagt 

Bei diesem Ausfuhrungsbeispiel ermitteln der Mikro- 
rechner und die Oberwachungseinrichtung zeitabhSn- 
gig welcher Programmschritt vom Mikrorechner gera- 
de abgearbeitet wird. Der Mikrorechner gibt die Aus- 
gangsgroBe an die Oberwachungseinrichtung, die diese 
direkt an die Verknupfungseinrichtung 98 weiterleitet 
Erkennt die Oberwachungseinrichtung 2, daB der Mi- 
krorechner nicht korrekt arbeitet, so gibt sie ein ent- 
sprechendes Signal, daB ein Fehlerzustand vorliegt an 
die Verknupfungseinrichtung 98 ab. Liegt dieser Signal 
vor, so werden NotfahrmaBnahmen eingeleitet Ober 
die Notvorrichtung kann der Mikrorechner unabhangig 
von den iibrigen Komponenten eine Abschaltung der 
Brennkraftmaschine veranlassen. Die Notvorrichtung 
unterbindet vorzugsweise die Kraftstoffzufuhr. 

Die Einrichtung gemaO Fig. 7b unterscheidet sich von 
der gemaB Fig. 7a darin, daB hier in die Ausgangsleitung 
8 der Oberwachungseinrichtung 2, die mogliche Fehler- 
zustande an die Verknupfungseinrichtung Obermittelt, 
eine Zahleinrichtung 97 eingeschaltet ist Dieser Zahler 
97 zahlt wie oft ein Fehlerzustand auftritt Die Zahlein- 
richtung gibt das Signal bezuglich des Fehlerzustandes 
erst dann weiter, wenn ein vorgegebener Zahlerstand 
erreicht ist 

NotfahrmaBnahmen werden erst eingeleitet, wenn 
die Oberwachungseinrichtung mehrmals einen Fehler- 
zustand der ersten Einrichtung erkannt hat 

Die Ausfuhrungsform gemaB Fig. 7c unterscheidet 
sich von der Ausfuhrungsform gemaB Fig. 7b darin, daB 
der Zahler 97 in die Oberwachungseinrichtung inte- 
griert ist, und mit dieser eine bauliche Einheit bildet 

Ein weiteres Ausfuhrungsbeispiel sieht vor, daB der 
Mikrorechner der Oberwachungseinrichtung in vordefi- 
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nierten Zeitabstanden bestimmte Daten zum Beispiei 
die aktuelle Stellung des Programmzahlers ubermittelt 
Die Oberwachungseinrichtung uberpruft, ob die Daten 
mit vorgegebenen Solldaten ubereinstimmen, und ob sie 
zum vorgegebenen Zeitpunkt vorliegen. 

Die Solldaten und die Zeitpunkte konnen in der Ober- 
wachungseinrichtung entweder fest vorgegeben sein, 
oder wahrend einer sogenannten Grundinitialisierung 
von dem Mikrorechner vorbelegt werden. Des weiteren 
konnen ereignisorientierte Aktionen uberwacht wer- 
den, wenn die Oberwachungseinrichtung Informationen 
zugefuhrt werden, die diese Ereignisse kennzeichnen, 
und der Zeitabstand auf das entsprechende Ereignis be- 
zogen ist. Dies bedeutet, daB der Mikrorechner abhan- 
gig von einem Program mzahler bestimmte Funktionen 
ausubt. Die Oberwachungseinrichtung iiberpruft, ob der 
Mikrorechner zum richtigen Zeitpunkt die richtige 
Funktion abarbeitet und ob er die Funktion innerhalb 
einer vorgegebenen Zeit abgearbeitet ist 

In einem Speicher 72 der Oberwachungseinrichtung 
ist wie in Fig. 8 dargestellt, eine Tabelle mit Solldaten 
und zugehorigen Zeitdauern abgeJegt. Der Mikrorech- 
ner mufl zu dem im Speicher abgelegten Zeitpunkt iiber 
die Datenverbindung 54 Testdaten in die Oberwa- 
chungseinrichtung einschreiben. Die Soil- und Testda- 25 
ten werden in einem Vergleicher 21 miteinander vergli- 
chen. Ein Zeitgeber 22 uberwacht den Zeitpunkt des 
Auftretens der Testdaten. Der Zeitgeber Qberpruft, ob 
die Testdaten innerhalb eines bestimmten Zeitraums 
auftreten. Treten die Daten fruher oder spater auf, so 30 
deutet dies auf einen Fehlerzustand hin. 

Stimmen die Testdaten nicht mit den Solldaten iiber- 
ein und/oder wird die Zeitdauer uberschritten oder un- 
terschritten, so gibt die Oberwachungsschaltung 23 ein 
entsprechendes Sicherheitssignal uber die Sicherheits- 35 
leitung 8 ab. Stimmen die Daten uberein, so wird im 
Speicher der nachste Wert abgearbeitet Der Speicher 
ist vorzugsweisc als RAM-Speicher realisiert, der durch 
einen als Ringzahler aufgebauten Zahler 74 adressiert 
und beim Einschalten durch den Mikrorechner initiali- 40 
siert wird. Legt man in den Speicher zum Beispiei die 
Programmzahlerstande des Mikrorechners an bestimm- 
ten Punkten eines Steuerprogramms sowie Maximal- 
werte fur die zugehorigen Programmlaufzeiten zwi- 
schen diesen Punkten ab t so kann man durch die Ober- 45 
wachungseinrichtung den Programmablauf kontrollie- 
ren. In diesem Fall ist in der linken Spahe die maximal 
erlaubt Rechenzeit und in der rechten Spalte der ent- 
sprechende Programmbefehl abgelegt Entsprechend 
konnen auch ereignisgesteuerte Ablaufe uberwacht 50 
werden. In diesem Fall wird iiberpruft ob nach einem 
bestimmten Ereignis innerhalb einer vorgegeben Zeit- 
dauer ein weiteres Ereignis auftritt. So muB zum Bei- 
spiei bei Auftreten eines Flankenwechsels des Dreh- 
zahlsignals innerhalb einer bestimmten Zeitdauer ein 55 
erneuter Flankenwechsel registriert werden. 

Ein weiteres Ausfuhrungsbeispiel sieht vor, daB be- 
sonders sicherheitsrelevante Etngangssignale, wie zum 
Beispiei das Drehzahlgebersignal im Mikrorechner und 
der Oberwachungseinrichtung parallel zugefuhrt und eo 
unabhangig voneinander erfaBt werden. Dem Mikro- 
rechner und der Oberwachungseinrichtung werden die 
Ausgangssignale eines oder mehrerer Sensoren als erste 
Daten zugefuhrt. Die von dem Mikrorechner und der 
Oberwachungseinrichtung erfaBten Daten werden dann 65 
verglichen. Hierzu wird vorzugsweise der von der 
Oberwachungseinrichtung erfaBte Wert dem Mikro- 
rechner zugefuhrt und dort weiterverarbeitet 
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Eine weitere Verbesserung eines solchen Systems er- 
gibt sich dadurch. daB nicht ein Sensor, sondern zwei 
Sensoren verwendet werden, wobei der eigentliche 
Drehzahlgeber dem Mikrorechner und der Hilfsdreh- 

5 zahlgeber der Oberwachungseinrichtung zugeordnet 
werden konnen. Dabei kann zusatziich vorgesehen wer- 
den, daB die Oberwachungseinrichtung und/oder der 
Mikrorechner eine Grenzwertuberwachung vornimmt 
und dabei das Vorliegen eines auBerhalb des/der Grenz- 

10 werte liegenden MeBwertes iiberpruft 

Zur Realisierung eines solchen Systems sei auf die 
Fig. 9 verwiesen. Ober eine Leitung 61 stehen der Mi- 
krorechner 1 und die Oberwachungseinrichtung 2 mit 
einem nicht dargestellten Sensor in Verbindung. Das 
15 Gebersignal gelangt jeweils zu einer Periodendauer- 
messung und/oder Frequenzmessung 24 bzw. 25, die mit 
den Zeitbasen 3 bzw. 4 in Verbindung stehen. Die Ober- 
wachungseinrichtung ist iiber eine Leitung 51 mit dem 
Mikrorechner verbundea Die Periodendauermessung 
20 25 und die Leitung 51 fuhren zu einer Vergleichseinheit 
26. Das AusgangssignaJ der Vergleichseinheit 26 gelangt 
zu einem Sperrghed 27. An dessen zweitem Eingang die 
StellgroBe anliegt. 

Die Periodendauermessung 24 der Oberwachungs- 
einrichtung 2 gibt ihr Ausgangssignal uber die Leitung 
51 an den Mikrorechner und an einen Grenzwertver- 
gleicher 28. Dieser steht mit zwei Zwischenspeichern 29 
und 30 in Verbindung. Diese stehen uber die Verbin- 
dung 54 mit dem Mikrorechner in Kontakt 

Das Gebersignal gelangt uber die Leitung 61 sowohl 
zum Mikrorechner als auch zu der Oberwachungsein- 
richtung. Dort werden sie jeweils durch die Perioden- 
dauermessung und/oder Frequenzmessung 24 bzw. 25 
mittels der Zeitbasen 3 bzw. 4 erfaBt Das MeBergebnis 
der Oberwachungseinrichtung wird uber die Verbin- 
dung 51 an den Mikrorechner ubertragen und in der 
Vergleichseinheit 26 mit dem MeBergebnis des Mikro- 
rechners verglichen. Bei Nichttibereinstimmung wird 
das sicherheitsrelevante Ausgangssignal iiber das 
Sperrglied 27 gesperrt Innerhalb der Oberwachungs- 
einheit wird das MeBergebnis der Periodendauermes- 
sung 24 in dem GrenzwertvergJeicher 28 mit einem obe- 
ren Grenzwert MAX und einem unteren Grenzwert 
M1N verglichen. Liegt das MeBergebnis nicht innerhalb 
dieser Grenzwerte* so wird das sicherheitsrelevante 
Ausgangssignal iiber das Sicherheitssignal gesperrt Die 
Grenzwerte MAX bzw. MIN, die in den Zwischenspei- 
chern 29 und 30 abgelegt sind, konnen vom Mikrorech- 
ner uber die Verbindung 54 beliebig vorgegeben wer- 
den. 

Patentanspriiche 

1. System zur Steuerung eines Kraftfahrzeugs, mit 
einer ersten Einrichtung zur Bestimmung von zur 
Steuerung des Kraftfahrzeuges benotigter Steuer- 
daten, mit einer zweiten Einrichtung zur Oberwa- 
chung der ersten Einrichtung, dadurch gekenn- 
zeichnet, daB die erste Einrichtung ausgehend von 
ersten Daten zweite Daten gemaB einer Pruffunk- 
tion ermittelt und die zweite Einrichtung ausge- 
hend von den ersten Daten dritte Daten gemaB der 
Pruffunktion ermittelt, wobei die erste und/oder 
die zweite Einrichtung abhangig von dem Ver- 
gleich zwischen den zweiten Daten und den dritten 
Daten einen sicherheitsrelevanten Fehlerzustand 
erkennt 

2. System zur Steuerung eines Kraftfahrzeuges 
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nach Anspruch 1, dadurch gekennzeichnet. daB die 
erste und die zweite Einrichtung ausgehend von 
den ersten Daten jeweils die zweiten und dritten 
Daten ermittelt und daB die erste und/oder die 
zweite Einrichtung einen Fehlerzustand erkennt, 5 
wenn die zweiten und dritten Daten nicht uberein- 
stimmen und/oder nicht zu einem vorgegebenen 
Zeitpunkt zur Verfugung stehen. 

3. System zur Steuerung eines Kraftfahrzeuges 
nach einem der vorhergehenden Anspruche, da- to 
durch gekennzeichnet, daB die ersten Daten durch 
den Wert eines Zahlers in der ersten oder in der 
zweiten Einrichtung definiert werden. 

4. System zur Steuerung eines Kraftfahrzeuges 
nach einem der vorhergehenden Anspruche, da- 15 
durch gekennzeichnet, daB die erste und/oder die 
zweite Einrichtung jeweils den invertierten Wert 
der ersten Daten bildet 

5. System zur Steuerung eines Kraftfahrzeuges 
nach einem der vorhergehenden Anspruche, da- 20 
durch gekennzeichnet, daB die erste Einrichtung 
von Zeit zu Zeit fehlerhafte zweite Daten vorgibt 
um die zweite Einrichtung zu uberprufen. 

6. System zur Steuerung eines Kraftfahrzeuges 
nach der vorhergehenden Anspruche, dadurch ge- 25 
kennzeichnet, daB die erste Einrichtung zu vorge- 
gebenen Zeitpunkten bestimmte Daten an die 
zweite Einrichtung ubermittelt, und daB die zweite 
Einrichtung die Daten auf den richtigen Wert und 
den korrekten zeitiichen Abstand kontrolliert 30 

7. System zur Steuerung eines Kraftfahrzeuges 
nach Anspruch 6, dadurch gekennzeichnet, daB die 
ersten Daten die aktuelle Stellung des Programm- 
zahlers angeben. 

8. System zur Steuerung eines Kraftfahrzeuges 35 
nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, daB die erste Einrichtung 
und die zweite Einrichtung mit einem Sensor zur 
Erfassung von sicherheitsrelevanten Daten verbun- 
den ist. 40 

9. System zur Steuerung eines Kraftfahrzeuges 
nach Anspruch 8, dadurch gekennzeichnet, daB we- 
nigstens zwei Sensoren zur Erfassung von sicher- 
heitsrelevanten Signalen vorgesehen sind, und daB 
die erste Einrichtung und die zweite Einrichtung 45 
mit jeweils einem Sensor verbunden sind. 

10. System zur Steuerung eines Kraftfahrzeuges 
nach einem der Anspruche 8 oder 9, dadurch ge- 
kennzeichnet, daB einer der beiden Sensoren ein 
redundantes Signal erfaBt 50 

11. System zur Steuerung eines Kraftfahrzeuges 
nach wenigstens einem der Anspruche 8 bis 10, da- 
durch gekennzeichnet, daB die erste Einrichtung 
und/oder die zweite Einrichtung die Ausgangssi- 
gnale der Sensoren erfassen und die erste Einrich- 55 
tung und/oder die zweite Einrichtung die Signale 
der beiden Sensoren vergleicht, und bei einer Ab- 
weichung auf Fehler erkannt wird. 

12. System zur Steuerung eines Kraftfahrzeuges 
nach wenigstens einem der Anspruche 8 bis 1 1, da- 60 
durch gekennzeichnet, daB die erste und/oder die 
zweite Einrichtung die Signale der Sensoren dahin- 
gehend uberwacht, ob sie in einem vorgegebenen 
Bereich liegen. 

13. System zur Steuerung eines Kraftfahrzeuges 65 
nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, daB die ersten Daten gemaB 
einer Zufallsauswahl vorgegeben werden. 
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14. System zur Steuerung eines Kraftfahrzeuges 
nach Anspruch 13, dadurch gekennzeichnet, daB 
der Zahlerstand eines Zahlers ausgelesen wird, 
wenn die erste Einrichtung die zweiten Daten an 
die zweite Einrichtung ubermittelt und daB dieser 
Zahlerstand als erste Daten verwendet werden. 

15. System zur Steuerung eines Kraftfahrzeuges 
nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, daB die erste und die zweite 
Einrichtung fiber eine serielle Schnittstelle oder ei- 
nen Daten-/Adressbus miteinander Daten austau- 
schen. 

16. System zur Steuerung eines Kraftfahrzeuges 
nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, daB die zweite Einrichtung 
mit einem Gate- Array eine bauliche Einheit bildet 

17. System zur Steuerung eines Kraftfahrzeuges 
nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, daB NotfahrmaBnahmen 
eingeleitet werden, wenn die zweite Einrichtung 
wenigstens einmal ein Fehlerzustand der ersten 
Einrichtung erkannt hat. 

18. System zur Steuerung eines Kraftfahrzeuges 
nach Anspruch 17, dadurch gekennzeichnet; daB 
Zahlmittel vorgesehen sind, die die Fehlerzustande 
der ersten Einrichtung zahlen, und daB erst nach 
mehreren erkannten Fehlerzustanden Notfahr- 
maBnahmen eingeleitet werden. 
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